Forum général.hors-sujets Désactiver une carte bancaire sans contact

Posté par (page perso) . Licence CC by-sa.
13
9
mar.
2013

Je viens de recevoir une nouvelle carte bancaire, et comme je le craignais, celle-ci est équipée d'un module de paiement sans contact. Ce système sans contact, c'est un truc de ouf malade, puisque ça permet :

  • d'effectuer les op√©rations sans code √† distance, typiquement la consultation des derni√®res transactions¬†;
  • d'effectuer de petits paiements (< 30¬†‚ā¨ avec ma banque) sans contact ni code¬†!

Du coup, √ßa implique automatiquement que, en me fr√īlant, disons dans le m√©tro o√Ļ on est souvent assez serr√©s, n'importe qui peut, √©quip√© du mat√©riel ad√©quat¬†:

  • charger la liste de mes derni√®res transactions¬†;
  • me d√©biter trente euros.

Du coup, j'ai écrit à mon banquier pour lui demander une nouvelle carte sans cette horreur, mais je doute qu'il puisse accéder à ma demande. J'ai cherché des tutoriels de désactivation de module de paiement sans contact, mais tous ceux que j'ai trouvé s'appliquent à des cartes américaines, qui ont pour particularité de ne pas avoir de contacts pour les paiements classiques, et donc les propriétaires peuvent se permettre de détruire la puce principale. Ici, hors de question que je détruire la puce principale : comme elle est utilisée pour les paiements classiques, ça rendrait ma carte inutilisable, autant la détruire entièrement…

Vous n'auriez pas des indications pour désactiver un module de paiement sans contact et seulement ce module ? En coupant l'antenne par exemple…

Mise à jour : un internaute a publié des instructions pour cela.

  • # √Ėgon Designs

    Post√© par (page perso) . √Čvalu√© √† 4.

    Je suis pour ma part l'heureux propri√©taire d'un portefeuille en aluminium d'√Ėgon Designs :
    http://www.ogondesigns.com/

    Apparemment, en plus d'être jolis et vachement pratiques, ces portefeuilles empêchent le vol de données par RFID.

    Et puis, ils sont français et super sympa, service après-vente de qualité.

    https://www.domotego.com/ | https://www.maccagnoni.eu/ | https://www.smm-informatique.fr/

    • [^] # Re: √Ėgon Designs

      Post√© par (page perso) . √Čvalu√© √† 3.

      bah suffit d'emballer sa carte dans du papier alu non ? bon ok c'est moche.

      • [^] # Re: √Ėgon Designs

        Post√© par (page perso) . √Čvalu√© √† 4.

        Et vachement pratique pour payer…

        • [^] # Foutaises

          Post√© par (page perso) . √Čvalu√© √† 5.

          Surtout, il n'est pas certain que ce soit efficace. À tout le moins serait il préférable de tester sérieusement avant de se fier à une telle méthode.
          Le papier alu, ne fait m√™me pas l'effet d'une cage de Faraday. Il manque un ingr√©dient essentiel : le lien √† la terre. Du coup les √©lectrons non li√©s du m√©tal oscilleront vraisemblablement gentiment au gr√®s des fr√©quences de votre carte, pour r√©√©mettre quasi instantan√©ment le signal re√ßu d'un c√īt√© du blindage vers l'autre. Et les communications traverseront l'aluminium comme les paquets IP transitent √† travers du c√Ęble ethernet.

          Il est aussi envisageable qu'un combinaison de fr√©quences, de dimensions, et de topologie appropri√©e brouille le signal. Mais mieux vaut v√©rifier. D'exp√©rience je peux au moins affirmer qu'un GSM dans une petite bo√ģte m√©tallique herm√©tique re√ßoit encore tr√®s substantiellement les r√©seaux. Donc √† tester.

          • [^] # Re: Foutaises

            Post√© par (page perso) . √Čvalu√© √† 2.

            Les antennes sont des dip√īles.
            Le papier alu, ou le portefeuille, sont de tr√®s mauvais dip√īles (mais ils en sont, juste tr√®s mauvais). Le r√©cepteur devrait donc √™tre ultra-sensible.

            D'autre part ces cartes sont alimentées électriquement par un champs magnétique alternatif orienté (je ne connais pas le bon terme). Il faut une bobine pour le capter.
            Le papier alu, ou le portefeuille, sont de très mauvaises bobines.

            Donc en gros la puce ne peut pas être alimentée électriquement.
            Et ce qu'elle émet est quasi-totalement dissipé par l'emballage alu.

            • [^] # Re: Foutaises

              Post√© par (page perso) . √Čvalu√© √† 2.

              Je ne suis pas certain de comprendre la seconde partie de votre raisonnement :

              ¬ę¬†Le papier alu, ou le portefeuille, sont de tr√®s mauvaises bobines.¬†¬Ľ

              Donc ils absorberont très peu de l'énergie destinée à l'inductance de la carte. Du coup celle-ci devrait recevoir quasiment toute la variation de flux magnétique assurant le bon fonctionnement du dispositif, sans atténuation sensible.

              Le seul effet ob√©rant potentiellement le fonctionnement du paiement sans contact reste li√© aux types et p√©riodes propres des dip√īles induits (votre premier point). D'o√Ļ la n√©cessit√© de ne pas se fier aveugl√©ment √† une telle isolation syst√®me D, qu'il convient donc d'√©prouver au pr√©alable.

              • [^] # Re: Foutaises

                Post√© par (page perso) . √Čvalu√© √† 2.

                Donc ils absorberont très peu de l'énergie destinée à l'inductance de la carte. Du coup celle-ci devrait recevoir quasiment toute la variation de flux magnétique assurant le bon fonctionnement du dispositif, sans atténuation sensible.

                Une cage de Faraday n'a pas besoin d'être reliée à la terre pour faire son office.
                La mise à la terre est bien utile pour que le potentiel de la cage reste à une valeur raisonnable, histoire de ne pas se prendre des décharges et ne pas endommager les matériels sensibles.

                L'onde incidente va être retransmise dans toutes les directions (plus ou moins, ça dépend de la forme de l'alu, de la polarisation, etc), et comme l'alu n'aura pas la bonne taille (sauf grosse malchance) ni la bonne forme, l'onde transmise sera incohérente. Autrement dit ça va partir dans tous les sens à l'intérieur comme à l'extérieur, et sans que chaque point d'émission soit en phase avec les autres : ce sera plus ou moins du bruit.

                Plus la longueur d'onde est grande, plus la cage de Faraday est efficace.
                Avec une onde d'1 mm (300 Ghz) je crois qu'on arrive √† correctement d√©tecter le signal de l'autre c√īt√© d'une cage tr√®s mince en utilisant une antenne directionnelle √† fort gain plac√©e quasi contre la paroi. J'ai le souvenir d'avoir lu √ßa dans un Elektor des ann√©es 90.

                • [^] # Re: Foutaises

                  Post√© par (page perso) . √Čvalu√© √† 2.

                  Autre exp√©rience connue et accessible : dans un endroit o√Ļ les r√©seaux de t√©l√©phonie mobile sont bien fonctionnels, mettre un gsm dans la cage et appeler. S'il sonne, c'est probablement que le signal passe. Cette exp√©rience, c'est une coll√®gue qui visait √† se pr√©munir des √©missions de son portable en le colloquant dans une bo√ģte de cigarillos m√©tallique qui l'a faite.

                  De même, il faudrait tester un vrai paiement sans contact autorisé à travers un blindage pour savoir s'il est efficace. Il y a souvent loin de la théorie à la pratique.

                  • [^] # Re: Foutaises

                    Post√© par (page perso) . √Čvalu√© √† 3.

                    Cette exp√©rience, c'est une coll√®gue qui visait √† se pr√©munir des √©missions de son portable en le colloquant dans une bo√ģte de cigarillos m√©tallique qui l'a faite.

                    Et le résultat ?

                    • [^] # Re: Foutaises

                      Post√© par . √Čvalu√© √† 3.

                      Une bo√ģte m√©tallique qui ferme √† peu pr√®s bloque bien les portables. Ce n'est pas le cas des fours micro-ondes.
                      Si son téléphone sonnait dedans, c'est que vraiment la fermeture est nase.
                      Ca marche aussi avec une casserole avec son couvercle, mais c'est moins pratique au quotidien.

                      Les cages de Faraday c'est dépassé : http://www.geodd.com/utilisation.html
                      Ca remplace avantageusement le thin foil hat je trouve. Mais c'est plus cher.

                      • [^] # Re: Foutaises

                        Post√© par . √Čvalu√© √† 1.

                        Pour les fours micro-ondes, la vitre est construite en th√©orie pour ne pas laisser passer un type d'onde bien pr√©cis (celle qui excite les mol√©cules d'eau… 2.X Ghz je connais plus la fr√©quence exacte) Du coup l’exp√©rience du portable n'est pas toujours concluante.

                      • [^] # Re: Foutaises

                        Post√© par (page perso) . √Čvalu√© √† 2.

                        Est-ce que l'ironie flagrante de la seconde partie de votre commentaire doit pousser à prendre également au second degré votre premier paragraphe ?

                        Ou bien — j'ose √† peine l'√©voquer¬†; mais si c'est le cas rassurez-vous, vous n'√™tes pas seul — seriez vous r√©ellement au nombre de ces cr√©dules qui peuvent accroire qu'une pastille vichy puisse pr√©munir efficacement des rayonnements √©lectromagn√©tiques socialistes communistes (de gauche d'apr√®s le site auquel vous renvoyez¬†;-)¬†?

                    • [^] # Re: Foutaises

                      Post√© par (page perso) . √Čvalu√© √† 2.

                      Un étourneau restera toujours un étourneau. Désolé.

                      Le r√©sultat, c'est que — √† la surprise g√©n√©rale de notre petite assembl√©e de th√©oriciens — le t√©l√©phone a sonn√© alors que nous √©tions attabl√©s et qu'il se trouvait herm√©tiquement enclos dans la bo√ģte. S'en sont suivies de vagues √©lucubrations de physiciens non sp√©cialistes du domaine pour expliquer ce ph√©nom√®ne qui nous a tous d√©concert√©.

                      Qui sait si sous les atours d'une t√īle m√©tallique ces emballages ne cachent pas un simple plastique d√©guis√©¬†? Mon hypoth√®se favorite serait que la g√©om√©trie fort plane du bo√ģtier se pr√™te particuli√®rement √† la transmission de la gamme de fr√©quence impliqu√©e. Il se pourrait √©galement que les techniques avanc√©es de traitement du signal mises en Ňďuvre dans la t√©l√©phonie mobile permettent de circonvenir une att√©nuation du signal tr√®s substantielle r√©sultant de l'enceinte. Ou milles autres conjectures. Plus d'exp√©riences ou des calculs pr√©cis permettraient certainement de mieux comprendre le ph√©nom√®ne…

        • [^] # Re: √Ėgon Designs

          Post√© par (page perso) . √Čvalu√© √† 4.

          L'astuce c'est de mettre une feuille d'alu dans le portefeuille de telle manière qu'elle enrobe la carte lorsqu'il est fermé. Cela dit, il est vrai que ça manque de test sérieux.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: √Ėgon Designs

      Post√© par (page perso) . √Čvalu√© √† 5.

      √áa n'emp√™che que les attaques par proximit√© physique, pas les achats avec une carte vol√©e…

      Parce que, les cartes sans contact, ça craint pour deux raisons :

      • √ßa permet de l'extraction de donn√©es ou des d√©bits par proximit√© physique¬†;
      • √ßa permet des d√©bits sans code¬†!
  • # tu coupes !

    Post√© par . √Čvalu√© √† 4.

    Tu fais une tranchée de 0.5-1mm jusque 1cm de plus que la puce et à sa gauche. Ca devrait suffire.

    D'un autre coté, à moins que le code bancaire n'ait été révisé, tout paiement sans authentification de l'utilisateur est opposable/révocable.

    • [^] # Re: tu coupes !

      Post√© par . √Čvalu√© √† 2.

      D'un autre coté, à moins que le code bancaire n'ait été révisé, tout paiement sans authentification de l'utilisateur est opposable/révocable.

      Ça n'a pas changé, mais c'est encore mieux, article 133-19 du CMF :

      I. ― En cas d'op√©ration de paiement non autoris√©e cons√©cutive √† la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information pr√©vue √† l'article L. 133-17, les pertes li√©es √† l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros.

      Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

      II. ― La responsabilit√© du payeur n'est pas engag√©e si l'op√©ration de paiement non autoris√©e a √©t√© effectu√©e en d√©tournant, √† l'insu du payeur, l'instrument de paiement ou les donn√©es qui lui sont li√©es.

      Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.

      Il faut comprendre :

      • instrument de paiement = carte bancaire
      • dispositif de s√©curit√© = PIN de la carte (et peut-√™tre le code de s√©cu au dos)

      En cas de paiement frauduleux avec une carte sans contact, si le PIN n'a pas été utilisé, on fait appel au I. et c'est plié.

      Mais je pense que même si le PIN a été utilisé (genre le méchant a regardé trois jours avant par dessus votre épaule au distributeur), je pense qu'on peut faire appel au II., on doit être parfaitement dans cette situation en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées.

      • [^] # Re: tu coupes !

        Post√© par . √Čvalu√© √† 4.

        En attendant, le jour o√Ļ √ßa t'arrive, tu es dans la merde au moins 48h le temps que ta banque te fournisse une nouvelle carte (et si c'est √† l'√©tranger ou en voyage, c'est encore plus agr√©able).

        Sans compter que sans avoir pris "l'assurance" des moyens de paiement, il est peu probable qu'elle se bouge pour en envoyer une nouvelle en urgence sans frais démesurés.

    • [^] # Re: tu coupes !

      Post√© par (page perso) . √Čvalu√© √† 5.

      Tu fais une tranchée de 0.5-1mm jusque 1cm de plus que la puce et à sa gauche. Ca devrait suffire.

      D'accord, en revanche je ne comprends pas ces instructions. Il s'agit de couper, d'accord, mais o√Ļ (abscisse et ordonn√©e) et de quelle forme (longueur et hauteur) exactement¬†?

      • [^] # Re: tu coupes !

        Post√© par (page perso) . √Čvalu√© √† 3.

        Petite question: est-ce que tu as essayé de regarder "par transparence" si tu n'arrives pas à distinguer l'antenne? Ca marche très bien avec les cartes RFID en papier (genre vélo'v), mais comme une carte bancaire est beaucoup plus opaque, je ne sais pas si c'est possible.

      • [^] # Re: tu coupes !

        Post√© par . √Čvalu√© √† 4.

        Supposition. Mais l'antenne est carrée/ronde uniquement sur la partie droite, soit elle fait le tour de la carte et englobe la puce. (plus efficace).
        D'après http://www.nfctags.com/nfc-tags-inlays un format Credit Card existant c'est "Racetrack".
        Dans les 2 cas, t'as forcément un lien puce vers boucle externe. T'as 1 chance sur 2 donc.

        Après tu peux faire des trous pour sonder au hasard: Suffit de couper la boucle.

        Une autre possibilité: Tu place la carte sur une table à induction et tu pries pour que ça ne tue que la puce NFC :)

        • [^] # Re: tu coupes !

          Post√© par (page perso) . √Čvalu√© √† 3.

          L'antenne est nécessairement de grande surface pour fonctionner à 30 cm. Donc elle s'étale au maximum sur la carte. Et elle est probablement circulaire.
          Donc en gros elle est le plus grand cercle possible dessinable sur la carte.

          J'ai l'impression qu'il suffit de faire une fente au milieu d'un des 4 c√īt√©. De pr√©f√©rence pas le c√īt√© contenant la puce car il y a moins de chance que l'antenne passe par l√†.

          Probablement une fente de 1,5 cm de long.
          Une fois la fente faite, tordre le plastique pour voir si on a bien coupé du fil.

  • # modification unilateral d'un contrat => resilisation du contrat

    Post√© par . √Čvalu√© √† 4.

    tu resilies ton contrat carte bleue et tu changes de banque

  • # [HS] Une astuce pour √©viter l'utilisation d'une carte perdue ou vol√©e.

    Post√© par . √Čvalu√© √† 5.

    [Hors sujet]
    Une astuce pour éviter l'utilisation d'une carte perdue ou volée.

    Pour valider une commande sur beaucoup de sites marchands, il suffit d'avoir les 16 chiffres de la carte bancaire, sa date de péremption et les 3 derniers chiffres au verso. Ainsi, si votre carte est perdue ou volée, elle reste utilisable pour faire des achats.

    Une parade : rendre illisibles les 3 derniers chiffres au verso de la carte, par exemple avec un poinçon ou une pointe de couteau. Parfois, ces 3 chiffres sont devinables au recto de la carte, il convient alors de gratter également le recto de la carte.

    Bien évidemment, avant de les effacer, vous aurez pris soin de noter ces 3 chiffres ailleurs. Et il faudra quand même faire opposition auprès de votre banque si votre carte est perdue ou volée.
    [/Hors sujet]

    • [^] # Re: [HS] Une astuce pour √©viter l'utilisation d'une carte perdue ou vol√©e.

      Post√© par (page perso) . √Čvalu√© √† 6.

      Une parade : rendre illisibles les 3 derniers chiffres au verso de la carte, par exemple avec un poinçon ou une pointe de couteau. Parfois, ces 3 chiffres sont devinables au recto de la carte, il convient alors de gratter également le recto de la carte.

      Oui, alors √ßa c'est le comble : ces trois chiffres ont √©t√© introduits pour ajouter un identifiant qui ne soit pas d√©calcable par simple empreinte de la carte en relief. Mais ces abrutis les gravent sur la carte d'une fa√ßon telle que… √ßa se voit en relief sur le recto¬†!

  • # G√©nial

    Post√© par . √Čvalu√© √† -4. Derni√®re modification le 20/05/13 √† 11:34.

    Hello,

    Pour ceux qui ne seraient pas li√©s par leur banque (pr√™t, cr√©dit…), je vous conseille vivement la banque en ligne BOURSORAMA BANQUE : gratuit, professionnel et r√©activit√©!

    Sur l'espace client, rubrique Gestion CB > Sans contact permet d'activer/d√©sactiver instantan√©ment la nouvelle fonction NFC. L'interface web et l'appli smartphone sont excellentes (graphiques, plafonds, gestion du budget, alertes…).

    Si vous avez envie de votre carte Bleue ou Gold gratuite, je peux vous parrainer, vous gagnerez 60€ en tant que filleul. Donner juste votre adresse email.

    Julien

    PS: je suis juste un client satisfait, pas d'actions chez Boursorama! :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.